Tatbiqiy sath shlyuzi
(ekranlovchi shlyuz
deb ham yuritiladi)
OSI modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab
oladi va tarmoqlararo aloqaning eng ishonchli himoyasini ta’min
laydi. Tatbiqiy sath shlyuzining himoyalash funksiyalari, seans sathi
shlyuziga o‘xshab, vositachilik funksiyalariga taalluqli. Ammo, tat
biqiy sath shlyuzi seans sathi shlyuziga qaraganda himoyalashning
ancha ko‘p funksiyalarini bajarishi mumkin:
- brandmauer orqali ulanishni o‘matishga urinishda foydala-
nuvchilami identifikatsiyalash va autentifikatsiyalash;
- shlyuz orqali uzatiluvchi axborotning haqiqiyligini tekshirish;
- ichki va tashqi tarmoq resurslaridan foydalanishni cheklash;
- axborot oqimini filtrlash va o‘zgartirish, masalan, viruslami
dinamik tarzda qidirish va axborotni shaffof shifrlash;
- hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda
qaydlangan axborotni tahlillash va hisobotlami generatsiyalash;
- tashqi tarmoqdan so‘raluvchi ma’lumotlami keshlash.
Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga
taalluqli bo‘lganligi sababli, bu shlyuz universal kompyuter hisob
lanadi va bu kompyuterda har bir xizmat ko‘rsatiluvchi tatbiqiy pro-
tokol (HTTP, FTP, SMTP, NNTP va h.) uchun bittadan vositachi
dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir xizmati-
ning vositachi dasturi (applicationproxy) aynan shu xizmatga taal
luqli xabarlami ishlashga va himoyalash funksiyalarini bajarishga
mo‘ljallangan.
Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida
kimvchi va chiquvchi paketlami ushlab qoladi, axborotni nusxalaydi
va qayta jo ‘natadi, ya’ni ichki va tashqi tarmoqlar orasidagi
to‘g‘ridan-to‘g‘ri ulanishni istisno qilgan holda, server-vositachi
fimksiyasini bajaradi (8.9-rasm).
209
8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi.
Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi
shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan,
tatbiqiy sath shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan
bog‘langan, ikkinchidan, ular OSI modelining tatbiqiy sathida xa
barlar oqimini filtrlashlari mumkin.
Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar
uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining
dasturiy serverlari - HTTP, FTP, SMTP, NNTP va h. - serverlari-
dan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident re-
jimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli himoya
lash funksiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar
tarkibining maxsus translyatori xizmat ko‘rsatadi.
Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri ora
sida ikkita ulanish amalga oshiriladi: ishchi stansiyadan brand-
mauergacha va brandmauerdan belgilangan joygacha. Kanal vosita
chilaridan farqli holda, tatbiqiy sath shlyuzining vositachilari faqat
o‘zlari xizmat qiluvchi ilovalar generatsiyalagan paketlami o‘tka-
zadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat
generatsiyalagan trafikni ishlaydi.
210
Agar qandaydir ilovada o‘zining vositachisi bo‘lmasa, tatbiqiy
sathdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qili-
nadi. Masalan, agar tatbiqiy sathdagi shlyuz faqat HTTP, FTP va
Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga
tegishli paketlami ishlaydi va qolgan xizmatlaming paketlarini
blokirovka qiladi.
Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli
holda, ishlanuvchi ma’lumotlar tarkibini tekshirishni ta’minlaydi.
Ular o‘zlari xizmat ko‘rsatadigan tatbiqiy sath protokollaridagi ko-
mandalaming alohida xillarini va xabarlardagi axborotlami filtrlash-
lari mumkin.
Tatbiqiy sath shlyuzini sozlashda va xabarlami filtrlash qoida-
larini tavsiflashda quyidagi parametrlardan foydalaniladi: servis no-
mi, undan foydalanishning joiz vaqt oralig‘i, ushbu servisga bog'liq
xabar tarkibiga cheklashlar, servis ishlatadigan kompyuterlar, foyda
lanuvchi identifikatori, autentifikatsiyalash sxemalari va h.
Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega:
- aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal
tarmoq himoyasining yuqori darajasini ta’minlaydi;
- ilovalar sathida himoyalash ko‘pgina qo‘shimcha tekshirish-
lami amalga oshirishga imkon beradi, natijada dasturiy ta’minot
kamchiliklariga asoslangan muvaffaqiyatli hujumlar o‘tkazish ehti-
molligi kamayadi;
- tatbiqiy sath shlyuzining ishga layoqatligi buzilsa, bo‘linuv-
chi tarmoqlar orasida paketlaming to‘ppa-to‘g‘ri o‘tishi blokirovka
qilinadi, natijada rad qilinishi tufayli himoyalanuvchi tarmoqning
xavfsizligi pasaymaydi.
Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi:
- narxining nisbatan yuqoriligi;
- brandmaueming o‘zi hamda uni o‘matish va konfiguratsiya-
lash muolajasi yetarlicha murakkab;
- kompyuter platformasi unumdorligiga va resurslari hajmiga
qo‘yiladigan talablaming yuqoriligi;
- foydalanuvchilar uchun shaffoflikning yo‘qligi va tarmoqlar
aro aloqa o‘matilishida o‘tkazish qobiliyatining susayishi.
Oxirgi kamchilikka batafsil to‘xtalamiz. Vositachilar server va
mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Avval vosi-
211
tachi bilan ulanish o‘matiladi, so‘ngra vositachi adresat bilan ula
nishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos
holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday ruxsat
etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaf-
foflik yo‘qoladi va ulanishga xizmat qilishga qo‘shimcha harajat
sarflanadi.
Tatbiqiy sath shlyuzining foydalanuvchilar uchun shaffofligi-
ning yo‘qligi va tarmoqlararo aloqa o‘matilishida o‘tkazish qobili-
yatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsa-
dida paketlami filtrlashning yangi texnologiyasi ishlab chiqilgan. Bu
texnologiyani ba’zida
Dostları ilə paylaş: |